В nginx заявили о новой уязвимости, которая позволяет удаленно выполнить код в свежем выпуске 1.31.0. По данным NebuSec, их защитный агент Vega обнаружил проблему вскоре после того, как разработчики закрыли другую уязвимость, известную как nginx-rift.
Новая проблема получила название nginx-poolslip. В компании называют ее уязвимостью нулевого дня и утверждают, что она затрагивает последнюю версию nginx на момент выхода сообщения.
Подробный технический разбор NebuSec обещает раскрыть через 30 дней после выхода исправления. В разбор войдет способ обхода ASLR, который усложняет атаки через уязвимости. Пока компания не раскрывает детали, чтобы не дать злоумышленникам готовую инструкцию до того, как администраторы установят исправления.